Haker ruskog govornog područja koji stoji iza backdoor-a poznatog kao Tomiris prvenstveno je fokusiran na prikupljanje obavještajnih podataka u centralnoj Aziji, otkrivaju novi Kaspersky nalazi.
“Tomirisov kraj igre se dosljedno čini kao redovna krađa internih dokumenata” rekli su istraživači bezbjednosti Pierre Delcher i Ivan Kwiatkowski u analizi objavljenoj danas. “Haker cilja na vladine i diplomatske subjekte u CIS-u.”
Najnovija procjena ruske firme za kibernetičku bezbjednost zasnovana je na tri nove kampanje napada koje je hakerska ekipa organizovala između 2021. i 2023. godine.
Tomiris je prvi put izašao na vidjelo u septembru 2021. godine kada je Kaspersky istakao potencijalne veze sa Nobeliumom (aka APT29, Cozy Bear ili Midnight Blizzard), ruskom nacionalnom grupom koja stoji iza napada na lanac snabdevanja SolarWinds.
Sličnosti su takođe otkrivene između backdoor-a i drugog malvera nazvanog Kazuar, koji se pripisuje Turla grupi (aka Krypton, Secret Blizzard, Venomous Bear ili Uroburos).
Spear-phishing napadi koje je organizovala grupa iskoristili su “poliglotski skup alata” koji se sastoji od niza nisko sofistikovanih “burner” implantata koji su kodirani u različitim programskim jezicima i stalno raspoređeni prema istim ciljevima.
Osim korištenja otvorenog koda ili komercijalno dostupnih alata, prilagođeni arsenal malicioznog softvera koji koristi grupa spada u jednu od tri kategorije: preuzimači, backdoor i kradljivci informacija:
- Telemiris – Python backdoor koji koristi Telegram kao komandni i kontrolni (C2) kanal.
- Roopy – Kradljivac datoteka zasnovan na Pascal-u koji je dizajniran da pregleda fajlove od interesa svakih 40-80 minuta i eksfiltrira ih na udaljeni server.
- JLORAT – Kradljivac datoteka napisan u Rust-u koji prikuplja informacije o sistemu, pokreće komande koje izdaje C2 server, otprema i preuzima datoteke i snima snimke ekrana.
Kaspersky istraga o napadima je dalje identifikovala preklapanja sa klasterom Turla koji prati Mandiant u vlasništvu Google-a pod imenom UNC4210, otkrivajući da je QUIETCANARY (aka TunnusSched) implant raspoređen na vladinu metu u CIS-u pomoću Telemiris-a.
„Tačnije, 13. septembra 2022. godine, oko 05:40 UTC, operater je pokušao da postavi nekoliko poznatih Tomiris implantata putem Telemiris-a. Prvo Python Meterpreter loader, zatim JLORAT i Roopy“ objasnili su istraživači.
“Ovi napori su osujećeni sigurnosnim proizvodima, zbog čega je napadač činio uzastopne pokušaje, sa različitih lokacija u sistemu datoteka. Svi ovi pokušaji su završili neuspjehom. Nakon jednosatne pauze, operater je pokušao ponovo u 07:19 UTC, ovaj put koristeći uzorak TunnusSched/QUIETCANARY. TunnusSched uzorak je takođe blokiran.”
Međutim, uprkos potencijalnim vezama između ove dvije grupe, za Tomiris se kaže da je odvojen od Turle zbog razlika u njihovom ciljanju i zanatstvu, što još jednom povećava mogućnost operacije lažne zastave.
S druge strane, takođe je vrlo vjerovatno da Turla i Tomiris sarađuju na odabranim operacijama ili da se oba hakera oslanjaju na zajedničkog dobavljača softvera, kao što je primjer upotrebe alata ruskih vojnih obavještajnih agencija koje je isporučio IT izvođač iz Moskve po imenu NTC Vulkan.
“Sve u svemu, Tomiris je veoma okretan i odlučan haker, otvoren za eksperimentisanje” rekli su istraživači, dodajući da “postoji oblik namjerne saradnje između Tomirisa i Turle”.
Izvor: The Hacker News